вторник, 21 мая 2019 г.

ИБ. Перспективы банка уязвимостей ФСТЭК на PHDays


С ФСТЭК в секции на PHDays 2019 обсуждали вопросы уязвимостей с техническим ИБ сообществом. Показали статистику за последние годы – 2х кратный рост в год.

 В середине прошлого года ФСТЭК опубликовали регламент раскрытия уязвимостей. Это не обязательный документ, но в общем он показывает типовой сценарий действий участников раскрытия уязвимостей. При необходимости и обосновании сроки могут продлеваться.



Более плотную работу с вендорами начали именно после принятия регламента. Сейчас есть более 60 уязвимостей «нулевого дня» по которым вендоры долго не реагируют – в ближайшее время будут публиковать без отработки вендором (в урезанном объёме).

ФСТЭК жаловался, что в 2016 году разработали стандарт по безопасной разработке, а к 2019ому можно по пальцам пересчитать количество компаний, задекларировавших его применение.

В рамках обсуждения от участников звучали идеи:
·       указать на сайте ФСТЭК контактов вендоров для оперативной связи при обнаружении информации об уязвимости (что-то подобноенедавно предлагал в блоге)
·       убрать пункт об отказе вендора в устной форме
·       включить в НПА к операторам и лицензиатам сообщать об уязвимостях
·       иногда когда раскрывается уязвимость в продукте одного вендора не учитывается возможность наличия аналогичной уязвимости в продуктах другого вендора

Ответы на заранее подготовленные и живые вопросы от аудитории:
·       откуда берут данные? из открытых источников с использованием ИИ, также из анализа исходного кода
·       как обеспечат качественный анализ уязвимостей для сертифицированных СЗИ – будут повышать требования для спецов испытательных лабораторий; подготовили специальный курс
·       какие риски у исследователей? Для занимающихся противоправной деятельность – есть риск
·       заимствование информации? Оно конечно есть, особенно по западным вендорам; но есть и уникальный контент, особенно по российским производителям
·       кто проверяет актуальность информации? ФСТЭК, их институт, привлекаемые организации
·       будет ли связь уязвимостей с угрозами? Да, но в этом году будут прорабатывать структурирование угроз (видят недостатки), а в следующие уже будут делать связь с уязвимостями
·       что с проектом методики моделирования угроз от 2015? Когда утвердим узнаете. Задача есть, сроков назвать не могу.   На конференции большое количество специалистов, которые и без ФСТЭК знают, как моделировать угрозы.
·       как происходит сертификация Windows 10? Никак. Обратитесь к разработчику Microsoft – они вам подскажут. Позиция ФСТЭК до них доведена. Проблема в сборе телеметрии.


пятница, 17 мая 2019 г.

ИБ. Обзор защищенности российских web сайтов


Пару недель назад обновилась до версии 1 достаточно интересная утилита wafw00f. Она позволяет определить каким межсетевым экраном уровня приложения (web application firewall или WAF) защищен web сайт. Поддерживается 112 WAF.

Принцип работы достаточно простой, работает быстро:
·         Отправляем нормальный http запрос
·         Отправляем несколько заведомо подозрительных http запросов, которые WAF (если присутствует) обязан заблокировать
·         По реакции (код ошибки, заголовки, изменение версии web сервера) web сервера / WAF пытаемся определить какое средство защиты используется.

Необходимость применения WAF для защиты важных web ресурсов уже давно осознаны, в БДУ ФСТЭК России есть много угроз для web, справится с которыми поможет только WAF, в системе сертификации есть отдельный класс МЭ уровня приложений и даже 3 сертифицированных решения типа Г.

Было интересно посмотреть какая сейчас статистика использования WAF для защиты российских ресурсов. Для TOP 450 российских сайтов по версии Яндекса получилась следующая картинка.   


Применение WAF в РФ
Количество
%
Не используют WAF
391
86,89%
Используют неизвестный WAF или межсетевой экран / IPS с функцией защиты web
37
8,22%
Cloudflare WAF
21
4,67%
CacheWall WAF
1
0,22%

Выводы. Более 85% ресурсов не защищены WAF. Показатель плачевный.
Около 8 процентов используют средства защиты, которое не удалось утилита не смогла определить (возможно PT AF или Континент WAF), что в общем то хорошо, так как злоумышленникам сложнее обойти средства защиты, о которых ничего не известно.    


вторник, 16 апреля 2019 г.

КИИ. Планирующиеся штрафы за нарушение требований в области КИИ


В РФ планируется установить административную ответственность за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры.

По всей видимости регуляторы уже наблюдают низкую активность субъектов КИИ по выполнению своих обязанностей либо ожидают что без этих штрафов, стимулов выполнять законодательство в области безопасности КИИ будет недостаточно. Поэтому был подготовлен и выложен на публичное обсуждение законопроект, вносящий 2 новые статьи в КОАП РФ.

В пояснительной записке указывается что авторы считают, что имеющаяся статья 274.1 УК РФ слишком суровая для обычного нарушения требований, поэтому предлагают дифференцированный подход: часть новых пунктов распространяется на всех субъектов КИИ, а другая – только на владельцев значимых объектов КИИ.
Ниже все штрафы на одной картинке

Крайний срок вынесения постановлении о нарушении планируют установить не позднее 1 года со дня совершения правонарушения (по сравнению с ПДн – больший срок, чтобы успеть собрать комиссию и разобраться в сложных случаях). Также определили довольно широкий перечень должностных лиц, наделенных полномочиями составлять протоколы и рассматривать дела о нарушениях.

PS: Законопроект выглядит логичным. Из личного общения с субъектами КИИ могу сделать вывод что наличие таких статей может существенно ускорить (с бесконечности до каких-то 3 лет) работы по ОБ КИИ.  

Пункты нарушений привязаны к конкретным НПА – ты отлично понимаешь, что за невыполнение данного конкретного документа будет именно такой-то пункт КОАП РФ.  В отличие от этого, по ПДн пункты нарушений какие-то выборочные – можно нарушить 90% требований, но под это не будет подходящей статьи и тебя просто не смогут наказать – только пожурить.

PPS: Диапазон сумм штрафов могли бы сделать и побольше, так как некоторые субъекты КИИ – это крупные корпорации и для них такие суммы всё ещё копеечные. На этом фоне более серьезными выглядят штрафы для должностных лиц – заплатить такие из собственного кармана уже не хотелось бы (340 тыс. руб. если нарушил всё что можно).

понедельник, 8 апреля 2019 г.

ИБ. Лучшие практики CIS. 20 ключевых мер защиты




Недавно международное ИТ сообщество CIS (Center for Internet Security) обновили свой документ с лучшими практиками (20 CIS Controls) мер защиты от актуальных угроз ИБ.  В обновлении немного поменялись формулировки мер защиты, угроз которым они противостоят, а также добавлен новый подход к приоритизации мер, под названием – группы реализации Implementation Group, о которых надо рассказать подробнее:

Изначально TOP 20 CIS Critical control – это был набор групп мер приоритезированных по критичности и рекомендованному порядку их применения. Причем первые Basic меры считались основами кибер гигиены, которые должны внедрить все компании (подробнее в моих предыдущих заметках)

Но оказалось, что для некоторых малых и ограниченных в ресурсах компаний не по силам даже Basic группы меры. К тому же раньше не учитывалась разная степень риска в разных организациях.  Поэтому решено было разделить меры на группы реализации IG1, IG2, IG3
         Implementation group 1 - IG1
Организация применяющие IG1 – в основном малый (иногда средний бизнес), с ограниченным опытом в ИТ и кибербезопасности. Основная задача этих организаций - сохранить бизнес в рабочем состоянии, а основной ущерб - от простоя.  Как правило обрабатывают не критичные данные своих сотрудников и финансовую информацию. Если же организации малого бизнеса обрабатывают критичные данные, то должны выполнять меры следующих групп.
Меры защиты, реализуемые в рамках группы IG1, должны осуществляться в варианте требующем минимум компетенций в области ИБ и рассчитаны на коробочные решения оборудования и ПО для малого бизнеса.

         Implementation group 2 – IG2
В организациях, применяющих IG2 как правило есть выделенные работники отвечающие за управление ИБ и защиты ИТ инфраструктуры. В таких организациях есть процессы и подразделения разной степени критичности. Некоторые подразделения могут быть нацелены в первую очередь на выполнение требований законодательства (compliance).  
Организации группы IG2 как правило обрабатывают важную информацию своих клиентов и контрагентов и устойчивы к коротким перерывам в обслуживании. Основное беспокойство вызывает потеря репутации в случае инцидентов.
Частные меры группы IG2, помогают ответственным за безопасность лицам, справляться с возрастающей сложностью процессов и операций. Установки и настройки некоторых меры будут зависеть от имеющегося в компании уровня технологий и экспертизы.

         Implementation group 3 – IG3
В организациях группы IG3 тысячи работников, в том числе имеются эксперты по безопасности, которые специализируются на различных аспектах кибербезопасность (например, управление рисками, тестирование на проникновение, безопасность приложений). Системы и данные организаций группы IG3 содержат конфиденциальную информацию или функции, которые строго регулируются или должны соответствовать требованиям.

Организации группы IG3 должны обеспечивать доступность услуг, конфиденциальность и целостность данных. Успешные атаки могут нанести большой вред обществу. Меры защиты, выбранные для IG3, направлены на противодействие целевым и новым атакам от нарушителей с высоким потенциалом.

Пример, таблицы соответствия мер “Инвентаризация и контроль ПО” и групп применения. 



Не правда ли, похоже на уже привычные по документам ФТСЭК / NIST базовые наборы мер в зависимости от класса систем.  Кстати, у CIS уже есть таблицы соответствия CIS Controls NIST CSF, а значит легко можно сделать аналогичную таблицу соответствия мерам из приказов ФСТЭК.

Далее можно использовать лучшее что есть в CIS Controls – порядок реализации мер начиная с наиболее важных, рекомендации по реализации процедур и использованию решений по автоматизации мер, метрики для контроля эффективности мер.  При этом всё это в общем то не будет противоречить российскому законодательству по ИБ.


понедельник, 1 апреля 2019 г.

ИБ. Единое встроенное СЗИ


Сегодня Ассоциация российских разработчиков единого встроенного СЗИ, включающая Россети, Газпром, Лукойл, Сбербанк, опубликовала пресс релиз о выпуске Единого встроенного средства защиты информации (далее - ЕВС), разработанного при участи ФСБ России, ФСТЭК России и Минкомсвязи.

Архитектура решения представлена ниже

Основные компоненты решения:
·         Единое встроенное СЗИ нижнего уровня – встраивается в исполнительные устройства, банкоматы, датчики, счетчики, иные аппаратные и технологические устройства
·         Единое встроенное СЗИ среднего уровня – встраивается в телекоммуникационное оборудование, программируемые логические контроллеры, оборудование промышленных сетей передачи данных
·         Единое встроенное СЗИ верхнего уровня – встраивается в АРМ пользователей и операторов, серверы, промышленные серверы
·         Серверы управления (C&C) – иерархическая структура серверов управления любой сложности

Основные функции решения: управление доступом, контроль целостности, регистрацию событий, антивирусную фильтрацию, межсетевое экранирование, подпись и шифрование по ГОСТ информации, защита от утечек, поведенческая аналитика (UBA). Серверы управления обеспечивают мониторинг ИБ, интеграцию с сервисами киберразведки (Threat Intelligence), с ГосСОПКА, автоматическую разработку ОРД и ознакомление с ними пользователей.

Решение получило сертификат ФСТЭК России на соответствие требованиям МЭ, АВЗ, СОВ, ОС, а также положительное заключение ФСБ России на встраивание в любое российское оборудование и ПО – что полностью покрывает все требования по безопасности ПДн, ГИС и КИИ.
Решение поступило в продажу 1 апреля 2019 г. и доступно для загрузки с download сервера ЕВС.


четверг, 7 марта 2019 г.

КИИ. ОКВЭД vs 187-ФЗ


Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?  Например, если мы школа или учреждение соц. защиты.

Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь:   



Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.

пятница, 1 марта 2019 г.

ИБ. Памятка для пользователей систем банк-клиент и ДБО

В конце прошлого года и начале этого усилились атаки на пользователей организации, занимающихся переводами денежных средств с использованием систем банк-клиент, ДБО и других платежных систем.

Это хороший повод для принятия дополнительных мер защит и для повышения осведомленности пользователей бухгалтерии и казначейства – инструктажей. Но после инструктажа нужно оставить памятку, во-первых, чтобы осведомленность не сильно снижалась со временем, а во-вторых, чтобы в случае инцидента, когда счет идет на минуты, меры начинали приниматься незамедлительно.    

Из того что удалось найти в интернете – общие рекомендации Банка своим клиентам (в основном рассчитанные на администраторов). Либо общие советы пользователям по безопасной работе. Отдельных памяток для пользователей систем банк-клиент не нашел. Также нигде не нашел советов для пользователя, как определить, что инцидент возможно происходит или уже произошел.

Возможно, кому-то будет полезным такой мой вариант памяток

Рекомендую дополнить её контактными телефонами банков, с которыми вы работаете, с учетом их операционного дня ближе к времени закрытия планировать контроль состояния счета, а также указать телефон для оперативной связи с лицом ответственным за координацию действий при возникновении инцидента.  

PS: Если я не учел каких то моментов, особенностей, или вы считаете что нужно делать по-другому, обязательно напишите ваш вариант в комментарии.